Pentru cei care sunt familiarizați cu listele de control al accesului, probabil că știți că există mai multe tipuri diferite de liste de control al accesului. Avem liste de control al accesului pentru IP versiunea 4, pentru IP versiunea 6, pentru IPX, pentru DECnet, pentru AppleTalk și lista poate continua la nesfârșit. De ce sunteți responsabil? În acest moment, suntem responsabili pentru IP versiunea 4 și pe asta ne concentrăm, pe IP versiunea 4. Și putem împărți listele de control al accesului IP versiunea 4 în două tipuri diferite, standard și extins. Care este diferența aici?
- ACL standard
- Verifică adresa sursă ACL
- Permite sau refuză întreaga suită de protocoale
- ACL extinsă
- Verifică adresa sursă și de destinație
- În general permite sau refuză anumite protocoale și aplicații
- Portul TCP și UDP sursă și destinație
- Tipul de protocol (IP, ICMP, UDP, UDP, TCP sau număr de protocol)
Bine, este vorba de parametrii pe care îi caută și vreau să citiți standardul, ce caută acest standard aici? Ce verifică? Vreau să citiți asta. Și am să vă arăt o modalitate de a-l reține. Deci, vedeți că standardul nu se uită la destinație, ceea ce, din punct de vedere practic, nu este foarte util. Lipsa posibilității de a căuta o destinație este destul de limitativă, de obicei doriți să căutați de unde vine și încotro se îndreaptă. Dar o listă de acces standard are ceva în comun cu adresa sursă, nu-i așa? Este litera S, este o modalitate foarte bună de a ne aminti că listele de acces standard se uită doar la sursă.
Listele de control al accesului extinse, sau ACL-urile extinse, pe de altă parte, sunt mult mai puternice, se pot uita la sursă și la destinație, se pot uita la protocoale de nivel de transport, cum ar fi TCP și User Data Protocol, sau UDP. Se pot uita la protocoale de nivel aplicație peste TCP și UDP, cum ar fi HTTP, FTP, Trivial File Transport Protocol, sau TFTP, DNS, secure sockets layer și secure shell. Asta sună ca o mulțime, deci cum ne amintim că listele de acces extinse pot corespunde pentru mult mai multe decât listele standard de control al accesului? Ei bine, atunci când ne-am referit la listele standard de control al accesului, am subliniat faptul că acestea verifică doar adresa sursă. Standardul începe cu S, sursa începe tot cu S.
Așa că mi-o amintesc ca fiind standard, doar sursa, S și S, în timp ce cu cea extinsă, avem totul altceva. Deci E-ul ne ajută să ne amintim totul. Acum există anumite lucruri pe care nu le putem potrivi. Nu putem potrivi numere de secvență, numere de confirmare, nu putem potrivi multe dintre stegulețele din TCP, de exemplu, putem potrivi unul dintre ele și trimite un bit. Dar este mult mai cuprinzător și astfel suntem mai aproape de tot. Rețineți că, atunci când introducem acestea, avem două seturi de sintaxă, avem vechea sintaxă și avem noua sintaxă. Și vă vom expune la amândouă.
Vechea sintaxă este numerotată, noua sintaxă este numită, iar sintaxa numerotată, este un pic mai complicată. Nu întâlnim nume numerice atât de des. În lista de acces standard numerotată, avem de la 1 la 99. Există un interval extins de care ne ferim, nu mai există niciun motiv să îl folosim. De la 1300 la 1999, nu-l folosim, bine, ne ferim. Dar de la 1 la 99 este standard, de la 100 la 199 este extins, iar modul în care trebuie să vă amintiți acest interval este că întotdeauna se termină cu 99, fiecare interval se termină cu 99 și ceva. Și când ne extindem la o valoare de trei cifre, când sărim de la două cifre la trei cifre, ne extindem și, prin urmare, obținem intervalul extins al listei de acces IP.
| IPv4 ACL Type | Number Range / Identifier |
|---|---|
| Numerotat Standard | 1-99, 1300-1999 |
| Numerotat Extended | 100-199, 2000-2699 |
| Numit (Standard și extins) | Nume |
Dar aceasta este sintaxa pentru care, sincer, suntem mai responsabili, dar pe care o avem de mai bine de un deceniu, listele de control al accesului numite. De fapt, a trecut mai mult de un deceniu în timp ce vorbim. Care este avantajul unei liste de control al accesului cu nume? Ei bine, listele de control al accesului denumite ne permit, în primul rând, să oferim un nume descriptiv. Astfel, în loc ca lista noastră de control al accesului să se numească 79, putem oferi un nume descriptiv, iar acest nume ne poate ajuta să înțelegem ce este menit să realizeze lista de control al accesului. Dar ceea ce beneficiem cu adevărat prin utilizarea listelor de control al accesului denumite este capacitatea de a le edita, de a adăuga și șterge intrări în cadrul acelei ACL.
Vedeți, cu listele de control al accesului numerotate, dacă trebuie să adăugați o intrare, atunci când mergeți la interfața liniei de comandă și doriți să adăugați o intrare, aceasta va fi analizată înaintea unei intrări pe care o aveți deja acolo. Acum nu puteți intra acolo și pur și simplu să puneți acolo, nu există nicio modalitate de a face acest lucru cu sintaxa de creare a acestora. Deci sunteți limitat în ceea ce privește capacitatea de editare, ce trebuie să faceți? Să ștergi totul, să recreezi totul. Așa că Notepad vine la îndemână. În regulă, dar cu lista de control a accesului numit, avem posibilitatea de a intra în sintaxa listei de control a accesului numit, de a adăuga, muta, șterge, modifica acele intrări în lista de control a accesului, după cum considerăm necesar.
Deci mult mai puternică, sintaxa listei de control a accesului numit. Dar să nu ne înțelegem greșit aici. Identificarea numerotată a listei de control al accesului, cum ar fi 1, 2, 3, 4 sau 100 sau 150, acesta este tot numele listei de control al accesului. Și o veți vedea mai târziu, utilizați sintaxa listei de control al accesului numit pentru a edita o listă de control al accesului numerotată. Este destul de mișto și vă vom oferi posibilitatea de a edita și de a remedia greșelile pe care le faceți cu lista de control al accesului numerotată fără a fi nevoiți să aruncați totul în aer și să o eliminați. Așadar, o sintaxă cu adevărat grozavă și o veți învăța și o veți iubi și o vom vedea pe toată, toată sintaxa pe măsură ce vom progresa împreună în acest curs.
Liste de acces standard numerotate ACL
Liste de acces standard, ce caută? Vă întreb, ce caută ele? Se uită după parametrul sursă și aici putem vedea asta. Așadar, ele nu își vor face griji cu privire la antetul cadrului de nivel 2, ci se vor uita la antetul pachetului, se vor uita la câmpul sursă din antetul pachetului și se vor potrivi exclusiv pe baza acestuia. Așadar, nu vor merge mai departe în stratul de transport. Și niciunul dintre acestea nu intră în date, bine. Ar trebui să folosiți unele caracteristici avansate ale firewall-ului pentru a filtra pe baza datelor.
Iată ce așteptam, sintaxa, și nu este prea complicată, rețineți asta. Nu este exagerat de complicată. În primul și în primul rând, configurăm listele de control al accesului numerotate în modul de configurare globală. Scriem access-list și apoi specificăm numărul listei de acces. Deci acestea sunt liste de control al accesului IPv4 standard, care sunt intervalele de numere? De la 1 la 99 și de la 1300 la 1999. Atunci când specificăm orice număr dintre aceste valori posibile, routerul nostru știe automat că creăm o listă de control al accesului IPv4 standard și vă va oferi sintaxa corectă pe care trebuie să o folosiți.
Nu vă va permite să introduceți parametri care nu sunt acceptați de lista de control al accesului IP versiunea 4 standard. Deci, dacă introduceți un număr greșit, dacă introduceți un 101, în cazul în care încercați să creați o listă standard de control al accesului IP versiunea 4, vă va oferi sintaxa pentru o listă extinsă de control al accesului, corect? Așadar, aveți grijă la numerotare, alegeți numerele corecte și apoi veți specifica ce doriți să se întâmple cu acest trafic. Vreți să-l permiteți? Doriți să îl refuzați? Puteți, de asemenea, să adăugați o observație, ce este o observație? Este doar o descriere. Deci, puteți descrie această listă de control al accesului, astfel încât atunci când veți revizui lista de control al accesului mai târziu, veți ști pentru ce este.
R1(config)#R1(config)#access-list 1 ?deny Specifică pachetele de respinspermit Specifică pachetele de redirecționatremark Comentariu la intrarea listei de accesR1(config)#access-list 1 permit ?Numele gazdei sau adresa A.B.C.D care se potriveșteany Orice gazdă sursăhost O singură adresă de gazdăR1(config)#access-list 1 permit 172.16.0.0 ?/nn sau A.B.C.D Biți de jokerlog Înregistrați meciurile cu această intrare<cr>R1(config)#access-list 1 permit 172.16.0.0.0 0.0.0.255.255 ?log Log Log matches against this entry<cr>R1(config)#access-list 1 permit 172.16.0.0.0 0.0.0.0.255.255R1(config)#Apoi avem sursa noastră, care este sursa? Amintiți-vă, mai devreme, când ne uitam la adrese și combinații de măști wildcard… Ei bine, sursa este adresa sursă, acel punct de pornire pe care dorim să îl folosim pentru compararea intervalului. Deci, dacă ne uităm la exemplul nostru, avem 172.16.0.0 ca adresă, sursa și apoi masca. Ce este masca? Fiți atenți aici, nu este, repet, nu este masca de subrețea. Este masca wildcard. Aici este locul unde introducem masca wildcard. Deci, în exemplul nostru, 0.0.255.255.255, deci care este intervalul de adrese pe care această listă de control al accesului, pe care tocmai am creat-o, o va verifica? De la 172.16.0.0 până la 172.16.255.255.255.
Așa că vedeți cât de importantă este masca wildcard și înțelegerea a ceea ce face, vă va ajuta să le creați și să le citiți. Aici se spune că există o mască wildcard implicită, luați-o cu binișorul, sistemul dumneavoastră de operare, în general, nu va mai accepta sintaxa atunci când introduceți orice intrare în interiorul listei de control al accesului care nu are o mască wildcard. Bine, deci acesta este un comportament vechi și nu este reprezentativ pentru ceva recent. Atunci când introducem o intrare precum cea pe care o vedem în modul de configurare globală cu access-list, aceasta este doar o intrare. Țineți cont de faptul că, dacă am dori să adăugăm o altă intrare, am avea în continuare access-list 1 și apoi vom construi următoarea secvență permit sau deny. access-list 1 din nou, access-list 1 din nou, access-list 1 din nou, dacă dorim să construim o listă de control al accesului din ce în ce mai mare. Care este dimensiunea minimă a unei liste de control al accesului?
O dimensiune minimă ar fi o declarație de autorizare. Da, cred că nu poate fi doar o singură declarație de negare, ar fi inutilă, cu excepția cazului în care vă înregistrați, dar asta nu ar lăsa nimic să treacă. Și maximul este tot ce puteți visa și tot ce aveți capacitatea de rezistență. După ce v-ați perfecționat lista de control al accesului în modul de configurare globală, așa cum vedem aici, o puteți valida. Dar pentru a arăta listele de acces, comanda și aceasta ar arăta, de fapt, toate listele de acces, IPv4, IPv6, lista de acces pentru adrese Mac, IPX, AppleTalk, dar, de obicei, avem doar IPv4 și, poate, în prezent, unele IPv6.
R1#show access-listsLista standard de acces IP 110 permit 172.16.0.0, wildcard bits 0.0.255.255Și putem vedea o singură intrare. Acum, stați puțin, stați puțin, am introdus permisul 172.16 cu acea mască wildcard, ce este 10 acolo? Ce este acel 10 care tocmai a prins viață în interiorul listei noastre de acces? 10 este un număr de secvență automat care este adăugat la lista de acces. Acesta va fi 10 în mod implicit. Dacă ar fi să creăm o altă intrare… deci scriem access-list 1 permit 192.168.1.0 0 0.0.0.255, i se va da automat un număr de secvență. Și ar fi 20, următorul din listă și următorul va fi 30 și 40 și 50, este modul în care le ținem evidența, numărul de secvență, ordinea în care le-am creat.
Și acest lucru este important, vă amintiți cum am spus, dacă vrem să modificăm lista de control al accesului, am putea dori să adăugăm o intrare aici și acolo, dar putem face acest lucru doar cu sintaxa numită, nu putem face acest lucru aici cu această sintaxă de numerotare standard, dar aceste numere de secvență vor fi factorul definitoriu pentru locul unde merge intrarea noastră. Dacă adăugăm sau mutăm sau ștergem sau modificăm și vom vedea asta mai târziu, vom vedea asta mai târziu doar când vom intra în sintaxa listei de control al accesului numite a modului în care aceste numere de secvență pot fi folosite și manipulate în avantajul nostru.
Înlăturarea unei liste de acces este foarte ușoară, amintiți-vă că puternica comandă no, tastați no access-list și apoi numărul listei de acces pe care doriți să o eliminați. Aveți grijă, fiți atenți. Să spunem că ați tastat no access-list 1 permit 172.16.0.0 0.0.0.255.255. Așadar, doriți să eliminați o intrare din lista de acces standard pe care ați creat-o mai devreme. Dacă tastați no și specificați întreaga comandă pe care ați tastat-o înainte, se va elimina doar acea intrare? Voi repeta, va elimina doar acea intrare? La prima vedere, da, asta e la prima vedere, dar dacă încercați asta și ați testat-o? Nu, nu se va întâmpla așa ceva. Nu va elimina doar acea singură intrare, ce va face? Va scăpa de tot, așa că unii dintre voi ați fost expuși la acest lucru. Este un comportament cu adevărat bizar în IOS.
R1#config t
Intrați comenzile de configurare, una pe linie. Terminați cu CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#În mod normal, când introducem o comandă specifică și o punem ca no, se elimină doar acea comandă. Aici trebuie să fim foarte atenți cu sintaxa, indiferent de ce, dacă spuneți no access list, dați-i un număr. Nu-mi pasă ce se întâmplă după aceea, va zdrobi întreaga listă de acces și multe zile proaste au fost cauzate de acest comportament.
.
